我们有一系列顶级文件夹:
E:\Data1
E:\Data2
E:\Data3
权限很简单 - 默认的CREATOR OWNER
、、SYSTEM Full Control
一些安全组允许修改和LOCAL SERVER\Administrator group Full Control
。没有拒绝权限,只有允许权限。
我有一个用户帐户,它是上述本地管理员组的成员。但是,当我访问该文件夹时,UAC 提示出现,并说需要添加权限才能访问该文件夹。为此用户帐户添加了一个显式条目,现在我可以访问该文件夹了。
但为什么?我是具有完全控制权的组的成员,为什么会提示?该文件夹设置为不从父文件夹继承权限,因此不存在从父文件夹继承的任何奇怪权限。
答案1
联合航空旨在通过将应用软件限制为标准用户权限来提高 Microsoft Windows 的安全性。 *
这意味着,即使用户帐户属于管理员组,explorer.exe 也只能以标准用户权限运行。并且作为标准用户,您无权访问这些文件夹。
但是,当您尝试访问这些文件夹时,Windows 会识别出您的用户帐户是管理员组的成员。它会询问您(通过 UAC 提示)是否要使用系统管理员的权限(通过管理员组成员身份)将您的用户帐户添加到 ACL。
这样,explorer.exe 就不会获得标准用户权限,从而提高了 Microsoft Windows 的安全性。
答案2
这是因为,默认情况下启用 UAC 后,您将在没有管理员权限的环境中访问文件夹,尽管您是管理员组的成员。另一种方法是以管理员身份运行资源管理器。
这里对此进行了解释:http://think-like-a-computer.com/2011/05/11/windows-access-denied-folder-administrator/
“通常,当您以管理员身份登录时,您将拥有对所有内容的完全不受限制的访问权限。UAC 旨在通过以更严格的方式运行所有不需要管理员访问权限的任务来防止这种情况。启用 UAC 后,管理员将拥有两个访问令牌:标准用户令牌(受限)和管理员令牌(不受限制)。所有任务首先在受限用户令牌下运行。只有当特定程序或任务需要完全管理权限时,它才会提示您以提升模式运行它。然后它使用管理员令牌启动此任务。”
答案3
我的做法是创建一个非管理员级别的组,名称类似于“文件服务器管理员”。然后我授予该组对文件夹位置的完全访问权限。然后我将需要该访问权限的适当用户添加到该组。由于该组是用户非提升令牌的一部分,因此访问权限以这种方式授予。
第一段中“我们如何防止文件夹被拒绝访问?”下的 Mark 链接对此进行了解释 - 只需忽略该链接中禁用 UAC 的建议即可:D